* [Sysadmins] DNAT для сервера в локальной сети
@ 2007-07-23 11:57 "Дворников М.В."
2007-07-23 13:57 ` Alexy Hammer
0 siblings, 1 reply; 2+ messages in thread
From: "Дворников М.В." @ 2007-07-23 11:57 UTC (permalink / raw)
To: sysadmins
Нужно сделать DNAT сервера в локальной сети
только для определенного IP-клиента в INET.
Проверьте правила, plz.
$INET_CLIENT - разрешенный внешний ip клиента;
$INET_IP - адрес шлюза (реальный ip);
$LAN_SERVER - адрес сервера (10.*.*.*);
$INET_IFACE - интерфейс шлюза с реальным ip;
$IPTABLES -t nat -A PREROUTING --src $INET_CLIENT --dst $INET_IP -i
$INET_IFACE -p tcp --dport $PORTS_TCP -j DNAT --to-destination $LAN_SERVER
$IPTABLES -A FORWARD -s $INET_CLIENT -i $INET_IFACE -d $LAN_SERVER -p
tcp --dport $PORTS_TCP -j ACCEPT
$IPTABLES -t nat -A PREROUTING --src $INET_CLIENT --dst $INET_IP -i
$INET_IFACE -p udp --dport $PORTS_UDP -j DNAT --to-destination $LAN_SERVER
$IPTABLES -A FORWARD -s $INET_CLIENT -i $INET_IFACE -d $LAN_SERVER -p
udp --dport $PORTS_UDP -j ACCEPT
--
С уважением, Дворников Михаил.
^ permalink raw reply [flat|nested] 2+ messages in thread
* Re: [Sysadmins] DNAT для сервера в локальной сети
2007-07-23 11:57 [Sysadmins] DNAT для сервера в локальной сети "Дворников М.В."
@ 2007-07-23 13:57 ` Alexy Hammer
0 siblings, 0 replies; 2+ messages in thread
From: Alexy Hammer @ 2007-07-23 13:57 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> $IPTABLES -t nat -A PREROUTING --src $INET_CLIENT --dst $INET_IP -i
> $INET_IFACE -p tcp --dport $PORTS_TCP -j DNAT --to-destination $LAN_SERVER
>
> $IPTABLES -A FORWARD -s $INET_CLIENT -i $INET_IFACE -d $LAN_SERVER -p
> tcp --dport $PORTS_TCP -j ACCEPT
>
> $IPTABLES -t nat -A PREROUTING --src $INET_CLIENT --dst $INET_IP -i
> $INET_IFACE -p udp --dport $PORTS_UDP -j DNAT --to-destination $LAN_SERVER
> $IPTABLES -A FORWARD -s $INET_CLIENT -i $INET_IFACE -d $LAN_SERVER -p
> udp --dport $PORTS_UDP -j ACCEPT
>
Сразу могу отметить, что не хватает правил для обратного траффика в
цепочке FORWARD, типа:
${IPTABLES} -A FORWARD --source ${...} --destination ${...} -m state
--state RELATED,ESTABLISHED -j ACCEPT
...
с уважением, Алексей
^ permalink raw reply [flat|nested] 2+ messages in thread
end of thread, other threads:[~2007-07-23 13:57 UTC | newest]
Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-07-23 11:57 [Sysadmins] DNAT для сервера в локальной сети "Дворников М.В."
2007-07-23 13:57 ` Alexy Hammer
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git